Llevando la seguridad del PDF a un nuevo nivel con Adobe Reader y Adobe Acrobat

Texto completo

(1)

Informe técnico — Adobe Security

Llevando la seguridad del PDF a un nuevo nivel con Adobe Reader® y Adobe Acrobat®

La familia de productos Acrobat X va más allá

Adobe Reader X y Adobe Acrobat X llevan la seguridad de los documentos PDF—y su información—a un nivel completamente nuevo. Diseñados pensando en la seguridad, Adobe Reader X y Adobe Acrobat X ofrecen una mejor seguridad en aplicaciones, gracias a la innovadora tecnología ‘sandboxing’, así como más controles de los más mínimos detalles, integración más fuerte con las arquitecturas de sistemas operativos de Microsoft® Windows® y Apple Mac OS X, características de parches más eficientes y mejores herramientas para la utilización y la administración. Las nuevas características en Adobe Reader X y Adobe Acrobat X permiten a los usuarios experimentar un costo total de propiedad reducido (TCO, por sus siglas en inglés) sobre versiones anteriores de los productos Adobe Reader X y Adobe Acrobat X.

Además, el Equipo de Ingeniería de Software Seguro de Adobe (ASSET, por sus siglas en inglés) y el Equipo de Respuesta a Incidentes de Seguridad de los Prodcutos Adobe (PSIRT, por sus siglas en inglés) trabajan juntos para ayudar a asegurar que su información esté segura cuando utiliza productos Adobe.

Para complementar nuestros esfuerzos internos de seguridad, la participación de Adobe en el Programa de Protecciones Activas de Microsoft (MAPP, por sus siglas en inglés) asegura el compartir avanzado de la información de vulnerabilidad del producto con los proveedores de software de seguridad, tal como distribuidores de antivirus, de prevención y detección de intromisión, de este modo, trabajan en conjunto para reducir el riesgo de vulnerabilidades en Adobe Acrobat X y Adobe Reader X.

Seguridad de aplicación mejorada Modo protegido en Adobe Reader X

Para protegerlo a usted y a su organización contra códigos maliciosos que intenten utilizar el formato PDF para escribir en el sistema de archivos de una computadora, Adobe brinda el Modo protegido, una implementación de la tecnología ‘sandboxing’.

Habilitado de forma predeterminada cada vez que abre Adobe Reader X, el Modo protegido ayuda a evitar que los atacantes instalen malware en el sistema de un usuario, lo que reducirá el riesgo de posibles amenazas a la seguridad. Específicamente, el Modo protegido limita el nivel de acceso otorgado al programa, salvaguardando a los sistemas que ejecutan el sistema operativo Microsoft Windows contra los archivos PDF maliciosos que intenten escribir en el sistema de archivos de una computadora, borrar archivos o modificar la información del sistema.

Las nuevas características de seguridad presentes en Adobe Reader X y Adobe Acrobat X ayudan a reducir el riesgo que representa el malware basado en PDF.

Índice 1 Seguridad de

aplicación mejorada 4 Integración más

fuerte con las arquitecturas de sistemas operativos 4 Costo total de

propiedad reducido 5 Utilización y

administración más sencilla 6 Seguridad del

contenido 6 Conclusión

(2)

IPC

Lectura Lectura/escritura

(restringido) Llamada

Proceso de sandbox Proceso

del agente de Reader

Sistema operativo Entidad Principal

de usuario

Principal PDF Nuevo límite de confiabilidad

Objetos con nombres

API

Sistema de archivos

Registro

Es más, como parte de los continuos esfuerzos de la compañía por integrar la seguridad en cada etapa de la vida útil del producto a través del proceso de Vida Útil del Producto de Seguridad Adobe (SPLC, por sus siglas en inglés), Adobe lleva a cabo revisiones periódicas de códigos existentes y los refuerza si es necesario, lo que mejora la seguridad de aplicación y refuerza la seguridad de su información cuando utiliza productos Adobe.

Vista protegida en Adobe Acrobat X

De forma similar al Modo protegido de Adobe Reader, Vista protegida es una implementación de la tecnología sandboxing para el amplio conjunto de características de Adobe Acrobat y está disponible en Acrobat X, Versión 10.1. Al igual que Modo protegido, Vista protegida confina la ejecución de programas poco confiables (por ejemplo, cualquier archivo PDF y los procesos que invoca) a una sandbox restringida a fin de evitar que códigos maliciosos escriban en el sistema de archivos de su computadora utilizando el formato PDF.

La Vista protegida asume que todos los archivos PDF son potencialmente maliciosos y confina el procesamiento a la sandbox a menos que haya indicado específicamente que el archivo es confiable. A pesar que Vista protegida tiene soporte en ambos escenarios en los cuales los usuarios abren documentos PDF, dentro de la aplicación autónoma Adobe Acrobat X y dentro de un navegador, el usuario experimenta una ligera diferencia en cada uno de estos.

En la aplicación Adobe Acrobat X autónoma, Acrobat muestra una Barra de mensaje amarilla (YMB, por sus siglas en inglés) en la parte superior de la ventana de vista cuando abre un archivo potencialmente malicioso dentro de Vista protegida. Esta barra indica que el archivo es poco confiable y le recuerda que está en Vista protegida, de ese modo, deshabilita varias características del Acrobat y limita la interacción entre el usuario y el archivo. Fundamentalmente, el archivo está en modo de sólo lectura y la Vista protegida evita que cualquier contenido malicioso incorporado o con etiquetas altere su sistema. Para que el archivo sea confiable y habilitar todas las características de Adobe Acrobat X, usted puede hacer clic en el botón

"Habilitar todas las características" que se encuentra en la YMB y Adobe Acrobat cerrará Vista protegida, siempre y cuando añada el archivo a la lista de ubicaciones privilegiadas de Acrobat. A partir de entonces cada vez que vuelva a abrir el PDF confiable, las restricciones de Vista protegida se deshabilitarán.

Cuando abre un archivo PDF dentro de un navegador, la Vista protegida brinda una experiencia más eficiente que no requiere una Barra de mensaje amarilla. En su lugar, todas las características de Adobe Reader están

¿Qué es "sandboxing"?

Los profesionales de la seguridad le tienen mucho respeto, el sandboxing es un método para crear un ambiente de ejecución confinado para programas en ejecución con bajos derechos o privilegios. Las sandboxes protegen los sistemas de los usuarios contra daños realizados por documentos poco confiables que contienen códigos ejecutables. En el contexto de Adobe Reader, el contenido poco confiable es cualquier PDF y los procesos que invoque.

Adobe Reader X trata a todos los PDF como potencialmente dañado y confina a la sandbox todo el proceso que el PDF invoque.

(3)

Ejecución de JavaScript

La familia de productos de Adobe Acrobat X ofrece controles de los más mínimos detalles y sofisticados para administrar la ejecución de JavaScript tanto en entornos de Windows como en Mac OS X.

Adobe JavaScript Blacklist Framework permite que JavaScript se utilice como parte de flujos de trabajo comerciales al mismo tiempo que protege a los usuarios y sistemas contra ataques que tienen como destino llamadas JavaScript API específicas.

Al añadir una llamada JavaScript API específica a la lista negra, usted puede bloquear su ejecución sin deshabilitar JavaScript por completo. También puede evitar que usuarios individuales anulen su decisión de bloquear una llamada JavaScript API específica, ayudando a proteger toda su empresa de códigos maliciosos. En entornos de Windows, la lista negra se mantiene en el registro de Windows; en entornos de Mac OS X, ésta se almacena en el archivo Mac OS X FeatureLockdown.

Configuración de interdominio

De forma predeterminada, la familia de productos Adobe Acrobat X deshabilita el acceso de interdominio ilimitado para los clientes de Microsoft Windows y Mac OS X, evitando que los atacantes aprovechen archivos PDF para acceder a recursos en otro dominio.

Al aprovechar el soporte incorporado para archivos de políticas de interdominio basados en servidores, usted puede permitir que Adobe Acrobat X y Adobe Reader X se encargue de la información entre dominios. Este archivo de política de interdominio, un documento XML, está alojado en un dominio remoto, lo que da acceso al dominio fuente y permite que Adobe Acrobat X o Adobe Reader X continue la transacción.

Usted querrá habilitar el soporte de interdominio de Adobe cuando:

• Necesite acceso de interdominio selectivo y quiera aprovechar otras características, tal como reconocimiento basado en un certificado digital;

• Quiera administrar de forma central los permisos de acceso a interdominios desde una ubicación única basada en servidor;

• Implemente flujos de trabajo que incluyan solicitudes de información de dominios múltiples para devolver información de formularios, solicitudes SOAP, referencias a medios de descarga y solicitudes Net.HTTP.

El usuario abre un archivo desde un dominio y dicho archivo intenta cargar información desde otro dominio.

El cliente controla la comunicación entre a.com y b.com al permitir las conexiones en base a los permisos indicados por los archivos de políticas de interdominio.

1

Examinar

4

Cargar

2

Permiso de políticas

3

Leer la información

a.com SWF, PDF, etc.

b.com/interdominio.xml información de formulario, contenido, etc.

Alertas de seguridad fáciles de usar

La familia Adobe Acrobat X implementa un método de alertas de seguridad fácil de usar a través de la Barra de mensaje amarilla (YMB) no intrusiva. La YMB reemplaza a los cuadros de diálogo tradicionales que oscurecen el contenido de la página, haciendo que sea más fácil para el usuario ver y responder a la alerta.

En clientes con Adobe Acrobat X o Adobe Reader X, la YMB aparece en la parte superior del documento con el mensaje de advertencia o error. El usuario puede elegir confiar en el documento "una vez" o

"siempre". Elegir "siempre" añade el documento a la lista de documentos privilegiados de la aplicación.

Controles JavaScript de Adobe

También puede utilizar los controles JavaScript de Adobe para:

• Encender o apagar el motor JavaScript

• Habilitar o deshabilitar las URL invocadas por JavaScript

• Controlar la ejecución de JavaScript altamente privilegiado

independientemente de los otros permisos

• Habilitar JavaScript altamente privilegiado en documentos certificados Adobe le da la flexibilidad para omitir de forma selectiva estas restricciones de ubicaciones confiables que incluye archivos, carpetas y hosts.

(4)

Cuando se habilita la seguridad mejorada y el PDF no está configurado todavía como una ubicación privilegiada (por ejemplo: confiable), la YMB aparece cuando un PDF intenta ejecutar una acción potencialmente peligrosa, lo que incluye:

• Innovar acceso de interdominio

• Ejecutar JavaScript

• Invocar una URL con JavaScript

• Llamar a la lista negra de JavaScript API

• Agregar información

• Agregar scripts

• Reproducir multimedia de legado incorporada

El botón "Opciones" permite a los usuarios configurar la característica "confiable", de forma inmediata, una vez o siempre. En toda la empresa, también puede configurar previamente la opción "confiable" para archivos, carpetas y hosts de modo que la YMB nunca aparezca en un flujo de trabajo empresarial confiable.

Integración más fuerte con las arquitecturas de sistemas operativos Seguridad siempre activada

Al brindar una capa adicional de defensa contra ataques que intentan controlar los sistemas de computadoras de mesa o dañar la memoria, la familia de productos Adobe Acrobat X aprovecha las protecciones de seguridad incorporadas y siempre activadas en los sistemas operativos Microsoft Windows y Mac OS X.

• Prevención de ejecución de información (DEP, por sus siglas en inglés) evita que información o códigos peligrosos ingresen a ubicaciones de memoria que están definidas como "protegidas" por el sistema operativo Windows. Apple ofrece una protección ejecutable similar para Mac OS X 10.6 en el navegador Safari de 64-bit.

• La aleatorización del esquema de espacio de dirección (ASLR, por sus siglas en inglés) esconde las ubicaciones del archivo con relación a la página y memoria de los componentes del sistema, haciendo difícil que los atacantes encuentren y ataquen dichos componentes. Tanto Windows como Mac OS X 10.6 utilizan ASLR.

Nivel de registro y configuración plist

La familia de productos Adobe Acrobat X le otorga una variedad de herramientas para administrar las configuraciones de seguridad, lo que incluye las preferencias de plist (Macintosh) y el nivel de registro (Windows). Con dichas configuraciones, usted puede configurar clientes antes y después de la utilización para:

• Encender o apagar la seguridad mejorada

• Encender o apagar las ubicaciones privilegiadas

• Especificar ubicaciones privilegiadas predefinidas

• Bloquear ciertas características y deshabilitar la aplicación UI para que los usuarios finales no puedan cambiar las configuraciones

• Deshabilitar, habilitar o configurar casi cualquier otra característica relacionada con la seguridad

Costo total de propiedad reducido Reforzar la seguridad del software

Las mejoras de seguridad como Modo protegido de Adobe Reader y Vista protegido de Acrobat son sólo dos ejemplos de las amplias inversiones de ingeniería que Adobe ha hecho para reforzar la familia de productos Acrobat contra las amenazas actuales y emergentes. Al hacer el software más sólido contra intentos de ataque, Adobe puede reducir o incluso eliminar la necesidad de actualizaciones de seguridad fuera de banda así como disminuir la urgencia de actualizaciones programadas regularmente. Todo esto aumenta la flexibilidad operativa y disminuye el TCO, en especial en entornos grandes con requisitos de garantía de seguridad elevados.

(5)

Soporte para Microsoft SCCM/SCUP

Con la familia de productos Adobe Acrobat X, usted puede importar y publicar actualizaciones de forma eficiente mediante el Administrador de configuración del centro de sistema Microsoft (SCCM, por sus siglas en inglés) para asegurar que sus computadoras de mesa Windows estén siempre al tanto con las actualizaciones y parches de seguridad más actuales.

El soporte nuevo para los catálogos del Centro de sistema Microsoft de actualizaciones de Publisher (SCUP, por sus siglas en inglés) le permite automatizar actualizaciones para su software Adobe Acrobat X y Adobe Reader X en toda su organización así como hacer eficientes las utilizaciones de software iniciales. SCUP puede importar de forma automática cualquier actualización emitida por Adobe, tan pronto como esté disponible, de este modo hace que actualizar sus utilizaciones de Adobe Acrobat X y Adobe Reader X sea más fácil y eficiente para usted. La nueva integración con SCCM/SCUP ayuda a reducir el TCO de su software Adobe ya que los parches se pueden implementar en toda la organización de modo más simple y rápido.

Soporte para Apple Package Installer y Apple Remote Desktop

En la familia de productos Adobe Acrobat X, Adobe ha implementado el Apple Package Installer estándar provisto por Mac OS X en lugar del Adobe Installer original. Esto facilita la utilización del software Adobe Acrobat y Acrobat Reader a las computadoras de mesa Macintosh en la empresa, puesto que ahora puede utilizar el software de administración Apple Remote Desktop para administrar su utilización inicial del software así como las actualizaciones y parches próximos desde una ubicación central.

Utilización y administración más sencilla

Actualizaciones y parches acumulativos y programados regularmente

Para ayudarlo a mantener su software al día, Adobe ofrece de forma proactiva actualizaciones programadas regularmente que contienen actualizaciones de características y arreglos de seguridad. Para respuestas rápidas a ataques de día cero, Adobe ofrece parches fuera de ciclo según sea necesario. Asimismo, Adobe aprovecha los parches acumulativos tanto como sea posible para reducir el esfuerzo y costo que se requiere para mantener actualizados los sistemas y prueba de forma agresiva los parches de seguridad antes de lanzarlos a fin de garantizar la compatibilidad con instalaciones y flujos de trabajo existentes.

Adobe además ofrece los siguientes sitios web de seguridad y servicios de notificación:

Para ver los consejos y boletines de seguridad más recientes acerca de los productos Adobe, ingrese a www.adobe.com/la/support/security.

Usted puede ver los informes de incidentes de seguridad y arreglos de vulnerabilidad más recientes en el blog Adobe PSIRT en blogs.adobe.com/psirt/

Para obtener información más detallada acerca de los productos y características de seguridad de Adobe, ingrese a la Biblioteca de seguridad Adobe en www.adobe.com/go/learn_acr_appsecurity_en.

Asistente y AIM de personalización de Adobe

Para obtener mayor control sobre sus utilizaciones en toda la empresa, Adobe brinda las siguientes herramientas:

• Asistente de personalización de Adobe—Una utilidad gratuita y descargable que le permite personalizar Acrobat Installer y configurar las características de aplicación antes de la utilización;

• Administrador de la información del administrador (AIM, por sus siglas en inglés)—Una aplicación Adobe AIR® personalizable y auto actualizable que contiene la Referencia de preferencias. AIM también incluye una lista creciente de otros recursos de interés para los administradores de la empresa.

(6)

Seguridad del contenido

Más allá de la seguridad de la aplicación, Adobe apoya una variedad de mecanismos estándar de la industria para ayudar a asegurar y autenticar la información almacenada en sus documentos PFD, incluyendo firmas digitales, administración de derechos y mejores prácticas del documento.

Firmas digitales

Las firmas digitales ahorran tiempo y dinero en comparación con las firmas "en tinta", y ayudan a los autores de documentos y destinatarios a asegurar la integridad y autenticidad de los contenidos de un documento. Con Adobe Reader X y Adobe Acrobat X, usted puede añadir fácilmente una firma digital basada en estándares a un documento, revisar la validez de la firma y añadir permisos y restricciones para controlar el flujo de trabajo de las firmas.

Administración de los derechos

La familia de productos Adobe Acrobat X trabaja con el software Adobe LiveCycle® Rights Management ES2 para ofrecer capacidades de administración de derechos que le permiten proteger información confidencial u otra información personal, de que se filtre fuera de su organización o entre en contacto con las personas equivocadas. Con esto, usted puede controlar el acceso, impresión, copia y edición en el documento, usuario o nivel de grupo y cambiar de forma dinámica dichas políticas a lo largo de la vida útil del documento. Además, ya que nadie con Adobe Reader puede acceder de forma segura a este contenido, los documentos protegidos son fáciles de ver y no necesitan que el destinatario compre o descargue productos adicionales o plug-ins.

Mejores prácticas constantes

La nueva característica Action Wizard en Adobe Acrobat X le permite crear scripts de forma fácil para procesos de documentos y utilizarlos a lo largo de la organización, ayudando a asegurar que todos los usuarios estén siguiendo las mejores prácticas al preparar y proteger documentos que se harán públicos.

Manejo de la información confidencial

Los usuarios pueden eliminar de forma constante y rápida la información confidencial de archivos utilizando la limpieza con un solo botón y herramientas de redacción mejoradas. Tecnologías de encriptación poderosas basadas en estándares permiten a los usuarios finales configurar contraseñas y permisos para controlar el acceso o evitar cambios en cualquier documento PDF.

Conclusión

Con la familia de productos Adobe Acrobat X, Adobe lleva la seguridad de los documentos PDF y su información a un nuevo nivel. Desde seguridad de aplicación mejorada y más controles de los más mínimos detalles e integración de sistemas operativos, Adobe Acrobat X y Adobe Reader X están diseñados pensando en la seguridad. Los usuarios de Adobe Reader X y Adobe Acrobat X experimentan TCO muy reducidos sobre versiones previas de los productos Adobe Reader y Adobe Acrobat debido a una mejor seguridad de aplicación, mayor integración OS, características de parches más eficientes y mejores herramientas para la utilización y la administración.

Además, Adobe Acrobat X y Adobe Reader X están respaldados por el equipo de expertos en seguridad de productos de Adobe, el Equipo de Ingeniería de Software Seguro de Adobe (ASSET, por sus siglas en inglés). Trabajando juntos con el Equipo de Respuesta a Incidentes de Seguridad de los Productos Adobe (PSIRT, por sus siglas en inglés), ASSET ayuda a garantizar que su información está segura cada vez que utiliza productos Adobe.

Para obtener más información

Detalles de solución: www.adobe.com/la/security

Figure

Actualización...

Referencias

Actualización...

Related subjects :